A elaboração de relatórios sobre riscos organizacionais a serem considerados pelos executivos seniores é uma das tarefas mais importantes que os chefes de conformidade têm. Um relatório eficaz de riscos é fundamental para um forte programa de compliance – e, francamente, para a segurança de carreira de um chief compliance officer. É algo que todo profissional de compliance precisa entender e fazer bem.
Então, hoje vamos dar um passo atrás e rever os fundamentos: O que é relatório de risco, e como criar um relatório de risco eficaz?
O que é um relatório de risco?
Um relatório de risco transmite informações sobre os riscos mais urgentes da empresa no momento. Tipicamente ele abordará riscos críticos, onde as conseqüências para a empresa podem ser terríveis; bem como riscos emergentes que podem causar maiores problemas no futuro, se não forem monitorados cuidadosamente.
Mais, o relatório de riscos deve discutir o quão bem a empresa está ou não a gerir esses riscos nesse momento. Assim, o relatório também pode incluir material sobre quais políticas são insuficientes, quais controles não estão funcionando tão bem quanto o esperado, ou quais passos adicionais podem ser necessários para manter os riscos dentro dos níveis de tolerância da empresa.
Por que o relatório de risco é importante
Acima de tudo, as políticas são insuficientes é importante porque o trabalho do conselho de administração é monitorar a eficácia dos sistemas de gerenciamento de risco – e o conselho (especificamente o comitê de auditoria) não pode fazer isso bem sem entender quais são os riscos da empresa. Os comitês de auditoria que adotam uma abordagem despropositada de supervisão do gerenciamento de riscos violam seus deveres fiduciários nos termos da lei e podem enfrentar processos em tribunal. Portanto, não é surpresa que os comitês de auditoria gostem de ver relatórios de risco competentes e eficazes.
Os relatórios de risco também são importantes porque ajudam o conselho a oferecer aconselhamento estratégico. Por exemplo, seu relatório de risco pode alertar sobre um alto risco de corrupção caso a empresa se expanda para mercados emergentes. Esse relatório pode levar o conselho a reconsiderar se a expansão é sensata, ou estratégias alternativas de preços, ou algum outro movimento. Independentemente disso, o relatório de risco é a matéria prima que o conselho usa para ponderar essas escolhas.
Meanwhile, the management team will rely on risk reports to understand how it might need to change operations to do business in a more riskaware manner. Digamos que a diretoria decide que a expansão para os mercados emergentes é necessária. Cabe então à gerência decidir como atingir esse objetivo. Um relatório completo de risco ajudará os executivos seniores a entender como eles podem precisar atualizar as políticas sobre presentes e gastos com entretenimento, ou compensação de incentivos por atingir cotas de vendas, ou sistemas de due diligence para pesquisar clientes estrangeiros.
Relatórios de risco efetivos também são importantes para os reguladores. Se alguma vez visitarem a sua empresa para rever a sua conduta ou o programa de conformidade e encontrarem uma fraca capacidade de reportar e discutir os riscos, nada de bom advém disso. Considere esta passagem dos Estados Unidos. A orientação do Departamento de Justiça sobre a avaliação de programas de conformidade:
O ponto de partida para uma avaliação do Ministério Público sobre se uma empresa tem um programa de conformidade bem concebido é compreender os negócios da empresa a partir de uma perspectiva comercial, como a empresa identificou, avaliou e definiu seu perfil de risco…
Uma empresa não pode identificar, avaliar e definir seu perfil de risco se os executivos não estiverem falando sobre o que são esses riscos – e um relatório de risco é fundamental para essa discussão.
O que um relatório de risco deve incluir
Como mencionamos acima, seu relatório de risco deve abordar os riscos mais críticos, bem como os riscos emergentes.
Os oficiais de conformidade tenderão naturalmente a se concentrar nos riscos de conformidade regulatória críticos ou emergentes, e esse é um lugar perfeitamente bom para começar. Por exemplo, o seu relatório pode abordar as regras de privacidade de dados à medida que você está se expandindo para novos mercados, ou regras de contratação do governo se você estiver começando a concorrer a contratos governamentais. Os agentes de conformidade também se preocuparão sempre com a aplicação das leis anticorrupção.
Pense amplamente aqui. Considere como as mudanças nas operações rotineiras da sua empresa podem mudar a natureza dos riscos de longa data que a sua empresa sempre teve. Por exemplo, um risco emergente e crítico poderia ser uma mudança para funcionários que trabalham em casa – o que poderia mudar seus riscos de fraude, segurança cibernética e assédio radicalmente, sem qualquer mudança nas leis e regulamentos reais que regem essas questões. Às vezes uma mudança nas operações deixará as políticas e controles existentes insuficientes para os riscos em questão, e isso é algo a ser incluído em um relatório de risco.
O exemplo do trabalho a partir de casa chama a atenção para outro ponto importante: Alguma condição externa está mudando, que desafia as suposições do seu programa de gerenciamento de riscos?
Por exemplo, o trabalho do turno de casa está acontecendo por causa da crise da COVID-19. De modo semelhante, novas políticas comerciais em todo o mundo poderiam criar riscos de sanções; uma fusão poderia criar riscos antitruste. Quanto mais amplamente você definir possíveis riscos emergentes ou críticos, melhor você será capaz de identificar os riscos emergentes ou críticos reais que devem constar do seu relatório.
O que um relatório de risco deve abordar
Todos os riscos no relatório devem incluir uma discussão sobre o seu impacto potencial. É isso que os executivos seniores e os diretores da diretoria querem entender quando decidem como o risco deve ser abordado.
Podemos definir “impacto” ao longo de várias linhas:
- Financeiro: penalidades monetárias como parte de uma ação regulatória; custos de mão-de-obra ou equipamentos relacionados a essa investigação (conselho externo, nova tecnologia, etc.); perda de receita ou lucros
- Operacional: se um risco pode levar a estoques que não podem ser vendidos, fábricas que não podem ser usadas, processos de negócios que podem não funcionar quando necessário, etc.
- Estratégico: se um risco pode prejudicar certas opções de longo prazo, como deixar a empresa com muito pouco dinheiro para adquirir metas de fusão ou desenvolver novos produtos
- Reputacional: pode um risco prejudicar a reputação corporativa entre clientes, consumidores ou parceiros de negócios
Não todo risco precisa de uma discussão completa de cada ponto acima, mas os responsáveis pela conformidade devem pelo menos considerar essas variáveis, e quais são as mais relevantes para o risco que você está discutindo.
O relatório deve explorar como o programa de compliance está tentando lidar com o risco em questão. Por exemplo, declare se as políticas e controles existentes na empresa estão produzindo os resultados desejados; ou quais fraquezas existem nos controles destinados a governar o risco. A discussão também deve incluir um cronograma de ação para resolver quaisquer pontos fracos de controle, identificar o proprietário do risco e pedir qualquer orientação da diretoria ou da gerência, se for necessário.
Como criar um Relatório de Risco Eficaz?
>
Vamos assumir que o seu relatório identificou todos os riscos que realmente devem ser incluídos. Nesse ponto, a verdadeira ameaça é que o relatório apresenta demasiada informação, de uma forma que deixa o leitor sobrecarregado ou confuso sobre o que fazer. Um relatório de risco eficaz é sobre foco e estrutura, além do conteúdo.
Por exemplo, o relatório de risco deve ser fácil de ler e digerir. Isso significa um resumo executivo dos riscos e porque eles estão incluídos no relatório, seguido de discussões profundas sobre cada risco e seus dados de suporte. A extensão do resumo pode variar, mas como regra geral, qualquer resumo que vá acima de 10 páginas está se aproximando muito.
Após esse resumo executivo, você pode mergulhar nos detalhes – que podem ser volumosos. Aqui é onde você pode incluir dados de suporte (quanto mais você usar gráficos ou gráficos de ferramentas de visualização de dados, melhor), relatórios de auditoria, históricos de casos, projeções de custos, e assim por diante. Em formato eletrônico, você pode até mesmo estruturar seu relatório de risco com links para deixar o leitor pular do resumo para a discussão aprofundada.
Um relatório eficaz também vincula claramente cada risco a um objetivo de negócio declarado. Afinal de contas, a maioria das pessoas que lêem o relatório de risco provém de operações de negócios ou funções de gerenciamento, sem muito conhecimento em conformidade ou gerenciamento de risco. Ligar o risco a um objectivo de negócio diz ao leitor porque o risco é importante, e vale a sua atenção.
Por último, um relatório eficaz mapeia um plano de ação ou coloca perguntas que a diretoria ou a gerência sênior precisa responder. Um relatório eficaz envolve o leitor, quer tranquilizando-o de que existe um plano para controlar o risco, quer solicitando orientação sobre o que fazer a seguir. Um relatório de risco capta o estado dos desafios de gestão de risco de uma empresa no momento e traça possíveis caminhos a seguir.
O que um relatório de risco não é um exercício para si mesmo. Não é um exercício de check-the-box para mostrar que a função de conformidade fez o seu trabalho. É uma ferramenta para ajudar os líderes seniores a fazer seu trabalho de governar a empresa – e quanto mais habilidosamente você lidar com essa ferramenta, mais bem-sucedido será seu programa de compliance.